Premier anniversaire du RGPD : regard sur le passé et l’avenir

L’entrée en vigueur du Règlement général sur la protection des données (RGPD) de l’Union européenne en mai 2018 a signalé le début d’une surveillance et d’une application plus agressives de la confidentialité dans une ère où la technologie évolue rapidement.  La diversité et la portée des actions d’application, ainsi que l’intersection de la réglementation en matière de confidentialité des données avec la technologie, sont susceptibles de poser des défis de plus en plus nombreux aux organismes de réglementation et aux entreprises.

Au cours des neuf premiers mois au cours desquels le RGPD a été en vigueur, les organismes de réglementation ont enregistré plus de 200 000 cas d’infraction dans 31 pays et émis près de 56 millions d’euros d’amendes.  La diversité des sanctions pécuniaires et des mesures d’application de la loi est frappante et illustre bien le large champ d’application du RGPD.  Des milliers d’actions en vertu du RGPD sont actuellement pendantes et les organisations doivent s’attendre à ce que les organismes de réglementation de l’UE continuent à poursuivre de manière agressive des cas de non-conformité.

Le RGPD a également accéléré la dynamique réglementaire dans de nombreuses autres régions, notamment aux États-Unis. L’une des conséquences est la poursuite d’une meilleure localisation des données. De nombreuses grandes entreprises technologiques ont découvert que le transfert de grandes quantités de données en dehors de l’UE pouvait aller à l’encontre des exigences du RGPD.  Une autre conséquence est que de nombreuses nouvelles normes réglementaires ne sont pas uniformes et que les entreprises peuvent avoir du mal à se conformer en cas de conflit entre des réglementations en matière de confidentialité.  En fin de compte, les entreprises peuvent subir des coûts considérables pour assurer la conformité de leurs pratiques d’utilisation des données.

Enfin, la convergence du RGPD et d’autres réglementations en matière de confidentialité des données avec une technologie en constante évolution – réseaux 5G, IdO, IA, informatique en nuage – remettra en question la capacité des entreprises à favoriser l’innovation technologique tout en protégeant la confidentialité.   Les entreprises doivent s’attendre à ce que l’UE adopte une approche active en matière de consommation d’IA et de traitement des données personnelles, en particulier lorsque cela permet de distinguer les individus en fonction de leur race, de leur sexe, de leurs convictions politiques ou en fonction d’autres catégories de nature délicate, même lorsque les conséquences sont involontaires.

La combinaison de ces facteurs crée, pour les entreprises, un risque de cybercriminalité qui s’apparente à un monstre à plusieurs têtes. Les professionnels de la gestion des risques doivent se préparer aux pièges potentiels qui se poseront dans le futur en consultant leurs conseillers et courtiers en assurance pour être au fait de l’évolution des normes réglementaires et de la technologie, et en adoptant des conditions pour les polices d’assurance qui permettront aux entreprises de faire face à leur exposition aux risques élargie.